Dienstkonten
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Ein Dienstkonto ist ein Benutzerkonto, das explizit erstellt wird, um einen Sicherheitskontext für Dienste bereitzustellen, die unter Windows Server-Betriebssystemen ausgeführt werden. Der Sicherheitskontext bestimmt, ob der Dienst auf lokale Ressourcen und auf Netzwerkressourcen zugreifen kann. Windows-Betriebssysteme verwenden Dienste, um verschiedene Features auszuführen. Diese Dienste können über die Anwendungen, über das Dienste-Snap-In, über den Task-Manager oder mithilfe von Windows PowerShell konfiguriert werden.
Dieser Artikel enthält Informationen zu den folgenden Arten von Dienstkonten:
Eigenständige verwaltete Dienstkonten
Verwaltete Dienstkonten sind darauf ausgelegt, Domänenkonten in wichtigen Anwendungen wie etwa Internetinformationsdienste (IIS) zu isolieren. Dadurch müssen der Dienstprinzipalname (Service Principal Name, SPN) und die Anmeldeinformationen für die Konten nicht manuell von einem Administrator verwaltet werden.
Um verwaltete Dienstkonten verwenden zu können, muss der Server, auf dem die Anwendung oder der Dienst installiert ist, mindestens über Windows Server 2008 R2 verfügen. Ein einzelnes verwaltetes Dienstkonto kann für Dienste auf einem einzelnen Computer verwendet werden. Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt werden. Außerdem ist es nicht möglich, sie in Serverclustern zu verwenden, in denen ein Dienst auf mehreren Clusterknoten repliziert wird. Für dieses Szenario muss ein gruppenverwaltetes Dienstkonto verwendet werden. Weitere Informationen finden Sie in der Übersicht über gruppenverwaltete Dienstkonten.
Neben der höheren Sicherheit, die sich durch getrennte Konten für wichtige Dienste ergibt, bieten verwaltete Dienstkonten vier wichtige Vorteile bei der Verwaltung:
Sie ermöglichen die Erstellung einer Klasse von Domänenkonten, die zum Verwalten von Diensten auf lokalen Computern verwendet werden kann.
Anders als bei Domänenkonten, deren Kennwörter manuell von Administratoren zurückgesetzt werden müssen, werden die Netzwerkkennwörter für diese Konten automatisch zurückgesetzt.
Für die Verwendung verwalteter Dienstkonten müssen keine komplexen SPN-Verwaltungsaufgaben ausgeführt werden.
Verwaltungsaufgaben für verwaltete Dienstkonten können an Benutzer ohne Administratorberechtigungen delegiert werden.
Hinweis
Verwaltete Dienstkonten sind nur für die Windows-Betriebssysteme verfügbar, die am Anfang dieses Artikels unter „Gilt für“ aufgeführt sind.
Gruppenverwaltete Dienstkonten
Gruppenverwaltete Dienstkonten sind eine Erweiterung eigenständiger verwalteter Dienstkonten, die in Windows Server 2008 R2 eingeführt wurden. Bei diesen Konten handelt es sich um verwaltete Domänenkonten, die eine automatische Kennwortverwaltung und vereinfachte SPN-Verwaltung bieten – einschließlich Delegierung der Verwaltung an andere Administratoren.
Ein gruppenverwaltetes Dienstkonto bietet die gleichen Funktionen wie ein eigenständiges verwaltetes Dienstkonto innerhalb der Domäne, weitet diese Funktionalität jedoch auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle, die gegenseitige Authentifizierung unterstützen, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Wenn gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, wird das Kennwort für das Konto vom Windows Server-Betriebssystem verwaltet, anstatt die Kennwortverwaltung dem Administrator zu überlassen.
Der Microsoft Key Distribution Service (kdssvc.dll) bietet den Mechanismus, um den neuesten Schlüssel oder einen bestimmten Schlüssel mit einer Schlüsselkennung für ein Active Directory (AD)-Konto sicher zu erhalten. Dieser Dienst wurde in Windows Server 2012 eingeführt und kann unter früheren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Der Schlüsselverteilungsdienst gibt ein Geheimnis frei, das zur Erstellung von Schlüsseln für das Konto verwendet wird. Diese Schlüssel werden regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Domänencontroller das Kennwort für den vom Schlüsselverteilungsdienst bereitgestellten Schlüssel – zusätzlich zu anderen Attributen des gruppenverwalteten Dienstkontos.
Gruppenverwaltete Praxisanwendungen
Gruppenverwaltete Dienstkonten bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder auf Systemen mit Netzwerklastenausgleich ausgeführt werden. Durch Bereitstellen einer gruppenverwalteten Dienstkontolösung können Dienste für den gruppenverwalteten Dienstkontoprinzipal konfiguriert werden, und die Kennwortverwaltung wird vom Betriebssystem übernommen.
Bei Verwendung eines gruppenverwalteten Dienstkontos müssen Dienstadministratoren sich nicht um die Kennwortsynchronisierung zwischen Dienstinstanzen kümmern. Das gruppenverwaltete Dienstkonto unterstützt Hosts, die über einen längeren Zeitraum offline sind, sowie die Verwaltung von Mitgliedshosts für alle Instanzen eines Diensts. Dank dieser Bereitstellung können Sie eine Serverfarm bereitstellen, die eine einzelne Identität unterstützt, gegenüber der sich vorhandene Clientcomputer authentifizieren können, ohne zu wissen, mit welcher Instanz des Diensts eine Verbindung hergestellt wird.
Von Failoverclustern werden keine gruppenverwalteten Dienstkonten unterstützt. Dienste, die auf Basis des Clusterdiensts ausgeführt werden, können jedoch ein gruppenverwaltetes oder eigenständiges Dienstkonto verwenden, wenn es sich bei ihnen um einen Windows-Dienst, um einen App-Pool, oder um eine geplante Aufgabe handelt oder wenn sie gruppenverwaltete oder eigenständige Dienstkonten unterstützen.
Anforderungen für gruppenverwaltete Software
Gruppenverwaltete Dienstkonten können nur auf Computern konfiguriert und verwaltet werden, die mindestens über Windows Server 2012 verfügen. Die Konten können jedoch als Lösung mit einzelner Dienstidentität in Domänen bereitgestellt werden, die noch über Domänencontroller mit einem Betriebssystem vor Windows Server 2012 verfügen. Auf Domänen- oder Gesamtstrukturfunktionsebene gelten keine Anforderungen.
Zum Ausführen der Windows PowerShell-Befehle zum Verwalten von gruppenverwalteten Dienstkonten ist eine 64-Bit-Architektur erforderlich.
Ein verwaltetes Dienstkonto ist von Verschlüsselungstypen abhängig, die von Kerberos unterstützt werden. Wenn sich ein Clientcomputer unter Verwendung des Kerberos-Protokolls bei einem Server authentifiziert, erstellt der Domänencontroller ein Kerberos-Dienstticket, das durch die vom Domänencontroller und vom Server unterstützte Verschlüsselung geschützt ist. Der Domänencontroller verwendet das Attribut msDS-SupportedEncryptionTypes des Kontos, um zu bestimmen, welche Verschlüsselung der Server unterstützt. Wenn kein Attribut vorhanden ist, wird davon ausgegangen, dass der Client-Computer keine stärkeren Verschlüsselungstypen unterstützt. Für verwaltete Dienstkonten muss immer der erweiterte Verschlüsselungsstandard (Advanced Encryption Standard, AES) konfiguriert werden. Wenn Computer, die das verwaltete Dienstkonto hosten, so konfiguriert sind, dass RC4 nicht unterstützt wird, tritt bei der Authentifizierung immer ein Fehler auf.
Hinweis
Der in Windows Server 2008 R2 eingeführte Datenverschlüsselungsstandard (Data Encryption Standard, DES) ist standardmäßig deaktiviert. Gruppenverwaltete Dienstkonten sind für Windows-Betriebssysteme vor Windows Server 2012 nicht verfügbar.
Weitere Informationen zu den unterstützten Verschlüsselungsarten finden Sie unter Changes in Kerberos Authentication.
Delegierte verwaltete Dienstkonten
Der in Windows Server 2025 eingeführte neue Kontotyp Delegated Managed Service Account (dMSA) wird jetzt unterstützt. Dieser Kontotyp ermöglicht Benutzern den Übergang von herkömmlichen Dienstkonten zu Maschinenkonten mit verwalteten und vollständig randomisierten Schlüsseln, wobei gleichzeitig die ursprünglichen Kennwörter der Dienstkonten deaktiviert werden. Die Authentifizierung für dMSA ist mit der Geräteidentität verknüpft, was bedeutet, dass nur bestimmte in AD zugeordnete Computeridentitäten auf das Konto zugreifen können. Durch die Verwendung von dMSA können Benutzer das häufige Problem des Sammelns von Anmeldeinformationen über ein kompromittiertes Konto, das mit herkömmlichen Dienstkonten verbunden ist, verhindern.
Benutzer haben die Möglichkeit, ein dMSA als eigenständiges Konto zu erstellen oder ein bestehendes Standarddienstkonto damit zu ersetzen. Wenn ein bestehendes Konto durch eine dMSA ersetzt wird, wird die Authentifizierung mit dem Passwort des alten Kontos blockiert. Stattdessen wird die Anfrage zur Authentifizierung mit der dMSA an die lokale Sicherheitsbehörde (LSA) weitergeleitet, die Zugriff auf dieselben Ressourcen hat wie das vorherige Konto im AD. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.
Virtuelle Konten
Virtuelle Konten wurden in Windows Server 2008 R2 und unter Windows 7 eingeführt. Es handelt sich um verwaltete lokale Konten, die die Verwaltung der Dienste vereinfachen und folgende Vorteile bieten:
- Das virtuelle Konto wird automatisch verwaltet.
- Das virtuelle Konto kann auf das Netzwerk in einer Domänenumgebung zugreifen.
- Keine Kennwortverwaltung erforderlich Wenn im Rahmen des SQL Server-Setups unter Windows Server 2008 R2 der Standardwert für die Dienstkonten verwendet wird, wird ein virtuelles Konto eingerichtet, bei dem der Instanzname als Dienstname im Format „NT SERVICE\<DIENSTNAME>“ verwendet wird.
Als virtuelle Konten ausgeführte Dienste greifen auf Netzwerkressourcen unter Verwendung der Anmeldeinformationen des Computerkontos im Format „<Domänenname>\<Computername>$“ zu.
Informationen zum Konfigurieren und Verwenden virtueller Dienstkonten finden Sie in der schrittweisen Anleitung zu Dienstkonten.
Hinweis
Virtuelle Konten sind nur für die Windows-Betriebssysteme verfügbar, die am Anfang dieses Artikels unter „Gilt für“ aufgeführt sind.
Siehe auch
Weitere Ressourcen im Zusammenhang mit eigenständigen verwalteten Dienstkonten, gruppenverwalteten Dienstkonten und virtuellen Konten finden Sie unter:
| Inhaltstyp | Referenzen |
|---|---|
| Produktbewertung | Neues für verwaltete Dienstkonten Erste Schritte mit gruppenverwalteten Dienstkonten |
| Bereitstellung | Windows Server 2012: Gruppenverwaltete Dienstkonten: Durchsuchen der PFE-Plattformen (Premier Field Engineering): Startseite: TechNet-Blogs |
| Verwandte Technologien | Sicherheitsprinzipale Neues in den Active Directory Domain Services |